US$ 160 milhões em risco devido a bug no composto do protocolo de empréstimo defi


Nota do editor: Este artigo foi atualizado com comentários de Robert Leshner e Banteg.
Há uma semana, o fundador da Compound, Robert Leshner, chamou um bug no contrato inteligente de seu protocolo de empréstimos de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes se tornaram uma máquina de venda automática cheia de dinheiro grátis.
Hoje, alguém explorou um bug no contrato do Controlador da Compound, que é a parte do protocolo que distribui recompensas de produção para os usuários. Ao chamar a função de gotejamento da Compound, eles transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório da Compound para sua Controladoria.
Desde que banteg, um desenvolvedor principal da Ann.Finance, tuitou sobre a exploração no início desta tarde, quatro grandes transações drenaram o pool da Controladoria de 64.997 COMP, ou US$ 21,4 milhões. Uma dessas transações retirou 37.504 COMP, ou US$ 12,3 milhões. Banteg disse que apenas “endereços com o estado do buggy podem drenar” e que há outros cinco endereços que poderiam reivindicar US$ 45 milhões, “esvaziando a Controladoria”.

Parece que minha estimativa foi baixa por causa de dados obsoletos no Acumuladocomp. Quatro usuários conseguiram reivindicar US$ 21,5 milhões até agora, então talvez haja mais fundos em risco. Não sei de uma maneira rápida de verificar todos os endereços. pic.twitter.com/IOHRby8nni
— banteg (@bantg) 3 de outubro de 2021

Na semana passada, após uma atualização chamada Proposta 062, a Controladoria começou a distribuir 280.000 COMP para as pessoas erradas.  Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.

Qualquer um que devolua o COMP para a comunidade é um giga-chad alienígena; e se um esquadrão de giga-chads alienígenas me convocar, aparecerei https://t.co/EZLb7g91Ew
— Robert Leshner (@rleshner) 1 de outubro de 2021

Mas devido à forma como a governança do Compound está estruturada, leva sete dias para corrigir o erro.
Qualquer um pode adicionar mais COMP à casa da Controladoria chamando gotejamento(), uma função pública, mas ninguém tinha chamado em semanas.
“Quando a função drip() foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo de distribuição aos usuários”, tuitou Leshner hoje.
“A questão do gotejamento é conhecida pelo Compound e pelos pesquisadores de segurança há alguns dias”, disse Banteg ao Decrypt , “mas como não houve mitigação, decidiu-se mantê-lo em segredo esperando que ninguém notasse até que um patch fosse eliminado.”
Os desenvolvedores da comunidade esperavam que os patches fossem ao vivo antes do gotejamento ser chamado, tuitou Leshner hoje. Banteg chamou a exploração de “o segredo mais bem guardado em DeFi”.

Isso coloca o COMP total em risco para aproximadamente 490k, dos quais 136k ainda está na Controladoria, e 117k foi devolvido à comunidade até agora (OBRIGADO Licença.

Obrigado pela Share!











Fonte: bitrss.com

Comments (No)

Leave a Reply